La declaración de que "Zero Trust está muerto", que resonó en un correo electrónico de julio de 2025, no es una sentencia de muerte para una filosofía de seguridad fundamental, sino un diagnóstico contundente de una crisis de implementación generalizada. Lejos de señalar el fin del principio de "nunca confíes, siempre verifica", esta frase marca el fin de Zero Trust como una mera jerga de marketing y una colección de productos inconexos y mal integrados. Este artículo argumenta que el paradigma no está obsoleto; por el contrario, su aplicación defectuosa ha allanado el camino para una evolución más cohesiva y centrada en la identidad.
En el corazón del problema reside un conflicto fundamental que aflige a las organizaciones modernas: el choque entre la política de seguridad y la productividad del usuario. El informe "The State of Zero Trust 2025" de Tailscale sirve como una fuente de datos crítica, cuantificando esta tensión, revelando una insatisfacción casi universal del 99% con las configuraciones de acceso actuales, y un alarmante 83% de profesionales que evitan las herramientas de seguridad para poder trabajar. Estos números no son meras estadísticas; son síntomas de una falla arquitectónica profunda.
La tesis central de este artículo es clara: el fracaso de las implementaciones de Zero Trust de primera generación exige un cambio fundamental de una arquitectura centrada en la red a una arquitectura de seguridad nativa de identidad. Para respaldar esta tesis, exploraremos en detalle el estado actual de desconexión entre las políticas de seguridad y las prácticas de los usuarios, analizaremos críticamente el concepto de Zero Trust y cómo se ha diluido, definiremos el nuevo paradigma de la seguridad nativa de identidad, y presentaremos una hoja de ruta estratégica y por fases para adoptar este nuevo enfoque.
Uno de los números más impactantes del informe es que una abrumadora mayoría del 83% de los profesionales de TI, seguridad e ingeniería admiten eludir las herramientas de seguridad corporativas para seguir siendo productivos. Este número se eleva a un 87% aún más preocupante entre los desarrolladores. Este comportamiento no debe interpretarse como un simple problema de cumplimiento del usuario o malicia; es la manifestación de una falla sistémica en el diseño de la seguridad. Las herramientas en vigor se describen ampliamente como demasiado lentas, frágiles y dolorosas de usar.
Estas desviaciones de la política de seguridad toman formas peligrosas, incluyendo el uso de dispositivos personales para eludir las restricciones, la utilización de software no aprobado y el intercambio de credenciales. Colectivamente, estas acciones crean una vasta "infraestructura sombra" — una capa de operaciones invisible y no gestionada que los equipos de seguridad no pueden supervisar ni proteger. Paradójicamente, las mismas políticas diseñadas para mitigar el riesgo están, en la práctica, empujando el riesgo a la clandestinidad, donde se vuelve incuantificable y mucho más peligroso.
La arquitectura de Red Privada Virtual (VPN), un pilar de la seguridad basada en el perímetro, se identifica como uno de los principales culpables de la crisis actual. Los datos revelan que un impresionante 90% de los encuestados informan uno o más problemas significativos con sus soluciones VPN heredadas, con solo el 10% afirmando que su configuración "funciona bien". Las principales quejas son multifacéticas, abarcando riesgos de seguridad, problemas de latencia y velocidad, y una elevada sobrecarga operativa.
El análisis revela una combinación tóxica de fallas fundamentales en la gestión de identidad: adopción lenta del acceso basado en identidad, procesos de baja de personal defectuosos y dependencia del aprovisionamiento manual. Menos de un tercio de las organizaciones utiliza el acceso basado en identidad como su modelo principal. Un número profundamente preocupante del 68% de los profesionales admite haber retenido el acceso a los sistemas de un empleador anterior después de su partida. La mayoría de las organizaciones todavía dependen de procesos manuales para aprovisionar el acceso, un método propenso a retrasos, inconsistencias y error humano.
Las barreras a la modernización no son puramente técnicas. El informe identifica que las principales razones para posponer las actualizaciones de seguridad son el "riesgo de interrupción de los flujos de trabajo", las "prioridades de liderazgo u organizacionales" conflictivas, y un "caso de negocio poco claro" o un ROI incierto. Esto demuestra que el problema está profundamente arraigado en la cultura organizacional, la aversión al riesgo y la deuda técnica.
La seguridad nativa de identidad es un modelo arquitectónico donde la identidad autenticada — tanto de usuarios como de máquinas — se convierte en el nuevo perímetro de seguridad y el plano de control primario para todas las decisiones de acceso. Es la realización práctica del mantra "nunca confíes, siempre verifica". Todas las decisiones de acceso se median a través de un proveedor de identidad (IdP) central, como Azure AD u Okta. Los controles de red tradicionales, como los firewalls y las listas blancas de IP, se vuelven secundarios o irrelevantes para la decisión de acceso.
A los usuarios se les concede acceso directo y explícito a aplicaciones específicas, en lugar de un acceso amplio a segmentos de red. Por defecto, la red permanece "oscura" e invisible para los usuarios, y los recursos se revelan solo después de una autenticación y autorización exitosas. La confianza no es un evento único al iniciar sesión. Es un estado dinámico que se reevalúa continuamente basándose en un rico conjunto de señales contextuales, como la salud y el cumplimiento del dispositivo, la ubicación geográfica, el comportamiento del usuario y la hora del día.
El camino a seguir no es una solución rápida, sino una transformación estratégica y por fases. Comienza con la consolidación de la identidad como la base inquebrantable de la seguridad, progresa a través del reemplazo deliberado de tecnologías heredadas como las VPN con controles granulares, y culmina en una cultura donde la seguridad es un facilitador invisible de la productividad, no un obstáculo. Para los líderes de seguridad, el mensaje es claro: la era de parchear el perímetro ha terminado. La era de construir redes sobre una base de identidad verificable y confianza explícita ha comenzado.
En conclusión, la declaración de que "Zero Trust está muerto" es un reconocimiento necesario de que su primera encarnación